PT-2025-25167 · Apache · Apache Cloudstack
Wei Zhou
·
Publicado
2025-06-10
·
Atualizado
2025-06-10
·
CVE-2025-26521
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Apache CloudStack anteriores a 4.19.3.0
Versões do Apache CloudStack anteriores a 4.20.1.0
Descrição
A falha permite que um membro de um projeto acesse a chave de API e a chave secreta do usuário 'kubeadmin' da conta do criador do cluster CKS, potencialmente levando ao comprometimento completo da confidencialidade, integridade e disponibilidade dos recursos pertencentes à conta do criador. Um invasor que seja membro do projeto pode explorar isso para se passar pelo usuário e realizar ações privilegiadas.
Recomendações
Para versões anteriores a 4.19.3.0 e 4.20.1.0, atualize para a versão 4.19.3.0 ou 4.20.1.0 para corrigir o problema.
Como solução temporária, considere criar uma nova conta de serviço para cada projeto para fornecer acesso limitado especificamente para provedores de cluster Kubernetes e dimensionamento automático, e atualize o secret dentro do cluster e regenere as chaves de API e de serviço existentes seguindo estas etapas:
- Crie uma nova conta de serviço com a função "Project Kubernetes Service Role".
- Adicione a conta de serviço ao projeto onde os clusters Kubernetes estão hospedados.
- Gere chaves de API e secretas para o usuário padrão desta conta.
- Atualize o secret do CloudStack no cluster Kubernetes criando um arquivo temporário com a URL da API, a chave de API, a chave secreta e o ID do projeto, e então exclua o secret existente e crie um novo secret usando kubectl e a configuração do cluster Kubernetes.
- Regenere as chaves de API e secretas para a conta de usuário original que foi usada para criar o cluster Kubernetes.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Cloudstack